学员渗透录二十六_XSS从初级到高级之初级利用篇


Oct 16 2014

学员渗透录二十六_XSS从初级到高级之初级利用篇

首页 » 学员作品 » 学员渗透录二十六_XSS从初级到高级之初级利用篇   

xss.jpg


继续我们ant的xss高级系列教程

学员渗透录二十六XSS从初级到高级之 初级利用Cookie(Session)的盗取与利用

以下由学员 ant 带来的 XSS 高级攻击系列教程,请各位客官慢慢观看!
作者:学员(ant) 编辑 mOon(暗月)
前面讲了 XSS 的分类与查找, 大家应该明白了 XSS 的利用原理了, 那么接下来我们就来
实战,利用 XSS 盗取用户或管理 COOKIE 或 Session
一、 Cookie 是什么
Cookie 是由 W3C 组织提出的一种验证机制,网站为了辨别用户身份,向客户端颁
发一个身份认证信息,这个认证信息会被保存在客户端文件当中,当用户与服务器每
次进行交互的时候,就会向 WEB 服务器发送此信息,以便于辨别用户身份。
在实际生活中,我们在登陆网站的时候,会有一个记住密码,这个记住密码就是在
你本地产生 COOKIE, 当你下次再打开此网站时, 就不需要再次登陆了, 这就是 COOKIE。
二、 Session 是什么
Session 也是一种身份验证机制,它主要是将用户身份存储在服务器端的内存中,
当用户关闭浏览器时,服务器会将内存中的信息释放掉
当我们登陆网站的时候,如果不点击记住密码,那么产生的就是 session 值,当我
们将浏览器关闭掉,并再次打开的时,网站就需要从新登录了
三、 Cookie 与 Session 的区别
这两种验证机制,最大的区别在于,cookie 是保存在客户端的,session 是保存在
服务器端的,cookie 是可控的而 session 是不可控的,从安全性上 session 的安全性
远远大于 cookie
四、 案例:利用 XSS 盗取用户 Cookie 或 Session
 环境模拟之盗取 COOKIE
这里我们用第一集中存储型 XSS 来做演示
图 1、服务器

详情请下载文档观看

学员渗透录二十六_XSS从初级到高级之初级利用篇.zip

百度网盘下载

链接:http://pan.baidu.com/s/1nticykp 密码:yjfy

如果您喜欢本博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容:

正文部分到此结束

文章标签: xss利用 xss系列教程 xss攻击 xss绕过

版权声明:若无特殊注明,本文皆为( mOon )原创,转载请保留文章出处。

也许喜欢: «学员渗透录二十七_XSS从初级到高级之中级利用篇 | 学员渗透录二十五_XSS从初级到高级之基本概念篇»

你肿么看?

你还可以输入 250/250 个字

 微笑 大笑 拽 大哭 亲亲 流汗 喷血 奸笑 囧 不爽 晕 示爱 害羞 吃惊 惊叹 爱你 吓死了 呵呵

评论信息框

这篇文章还没有收到评论,赶紧来抢沙发吧~